DDatenschutz

Meilenstein im Datenschutz: EuGH zu Pseudonymisierung, Anonymisierung und Transparenzpflichten im Datenschutz

Meilenstein im Datenschutz: EuGH zu Pseudonymisierung, Anonymisierung und Transparenzpflichten im Datenschutz 1
0
Shares
0
0
0
0
0
0

Mit Urteil vom 04.09.2025 (Rechtssache C-413/23 P) hat der Gerichtshof der Europäischen Union (EuGH) zentrale Fragen zum Umfang des Datenschutzrechts, insbesondere zur Pseudonymisierung und zur Informationspflicht bei Weitergabe von Daten, entschieden. Das Urteil stärkt den weiten Schutzbereich des europäischen Datenschutzrechts und bestätigt erneut, dass auch subjektive Äußerungen – wie Kommentare oder persönliche Einschätzungen – unter den Begriff „personenbezogene Daten“ fallen.

Obwohl sich die Entscheidung unmittelbar auf die Verordnung (EU) 2018/1725 („DSVO“ für EU-Organe) bezieht, ist sie wegen der inhaltlichen Übereinstimmung der Regelungen (vgl. Erwägungsgrund 5 DSVO) unmittelbar auf die DSGVO übertragbar.

Kernaussagen des Urteils in Kürze

  1. Erhalten Drittempfänger pseudonymisierte Daten und besitzen sie keine Mittel zur Re-Identifizierung, ist die DSGVO nicht anwendbar.
  2. Verantwortliche sind verpflichtet, betroffene Personen bereits bei der Datenerhebung über jede mögliche Weitergabe ihrer Daten zu informieren.
  3. Der Begriff der personenbezogenen Daten ist umfassend auszulegen und erfasst (wohl) auch subjektive Äußerungen – unabhängig von deren Inhalt, Zweck oder Wirkung.

Was ist Pseudonymisierung?

Pseudonymisierung im datenschutzrechtlichen Sinne bedeutet, dass personenbezogene Daten so verarbeitet werden, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können (Art. 4 Nr. 5 DSGVO). Dabei bleiben die Daten grundsätzlich identifizierbar, wenn die Zusatzinformationen – die gesondert und durch technische sowie organisatorische Maßnahmen geschützt aufbewahrt werden müssen – verfügbar sind. Pseudonymisierung reduziert somit das Risiko für Betroffene, hebt den Personenbezug aber nicht vollständig auf, weshalb pseudonymisierte Daten weiterhin dem Anwendungsbereich der DSGVO unterfallen.

Hintergrund des Verfahrens

Ausgangspunkt des Verfahrens war ein Rechtsstreit zwischen dem Europäischen Datenschutzbeauftragten (EDSB) und dem Single Resolution Board (SRB), der EU-Behörde für die Abwicklung notleidender Banken.

Im Zuge der Abwicklung der Banco Popular Español durch den SRB mussten Aktionäre und Gläubiger zunächst ihre Identität und Eigentumsverhältnisse nachweisen, um an einem Anhörungsverfahren teilnehmen zu können. In einer zweiten Phase konnten sie Kommentare abgeben. Diese Kommentare wurden unter einem pseudonymisierten Code an die Wirtschaftskanzlei Deloitte übermittelt, die mit einer abwicklungsrechtlich notwendigen Bewertung beauftragt war.

Mehrere Betroffene beschwerten sich beim EDSB, weil die Datenschutzerklärung des SRB keine Hinweise auf diese Weitergabe enthielt. Der EDSB stellte einen Verstoß gegen Art. 15 Abs. 1 lit. d DSVO fest, da Betroffene schon bei der Erhebung über Empfänger oder Empfängerkategorien hätten informiert werden müssen. Das Gericht der Europäischen Union (EuG) hob diese Entscheidung auf: Aus seiner Sicht fehlte es an einem Personenbezug, weil Deloitte ohne Zusatzinformationen keine Re-Identifizierung vornehmen konnte. Hiergegen legte der EDSB Rechtsmittel ein – mit Erfolg.

Die Entscheidung des EuGH

Der EuGH hat die Auffassung des EuG verworfen und mehrere zentrale Punkte hervorgehoben:

  • Weite Auslegung personenbezogener Daten: Auch Kommentare, Meinungen oder Bewertungen stellen personenbezogene Daten dar. Sie sind Ausdruck individueller Gedanken und daher eng mit einer natürlichen Person verknüpft – unabhängig davon, ob sie objektive Informationen enthalten und unabhängig von ihrem Inhalt, Zweck und ihrer Auswirkung.
  • Pseudonymisierung vs. Anonymisierung: Der EuGH stellt klar, dass pseudonymisierte Daten für den Verantwortlichen weiterhin personenbezogene Daten bleiben. Für Dritte, die keine Re-Identifizierung vornehmen können, können dieselben pseudonymisierten Daten allerdings als anonymisiert gelten und damit aus dem Anwendungsbereich der DSGVO fallen. Ob eine Identifizierbarkeit möglich ist, hängt von den konkreten Umständen und technischen Möglichkeiten ab.
  • Informationspflichten: Verantwortliche müssen betroffene Personen schon im Zeitpunkt der Erhebung darüber informieren, wer (konkret oder kategorisch) Empfänger ihrer Daten sein wird. Dass Dritte möglicherweise keine Identifizierung vornehmen können, entbindet nicht von dieser Pflicht.

Damit lag nach Auffassung des EuGH ein klarer Verstoß des SRB gegen Art. 15 Abs. 1 lit. d DSVO vor, da die Weitergabe an Deloitte in der Datenschutzerklärung nicht transparent gemacht wurde.

Bedeutung für die Praxis

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) bezeichnete die Entscheidung als „Meilenstein in einer stark umstrittenen Rechtsfrage“.
Zwar ergibt sich schon aus dem 26. Erwägungsgrund der DSGVO, dass diese für anonymisierte Daten nicht anwendbar ist. Es war jedoch seit Langem umstritten, wann Daten tatsächlich als anonymisiert gelten. Bereits im EuGH-Urteil zur Rechtssache Breyer vom 19.10.2016 wurde entschieden, dass IP-Adressen personenbezogene Daten sein können, wenn Verantwortliche Zugang zu den relevanten Zusatzinformationen (z. B. von Providern) haben. Das Urteil hat bereits grundlegende Maßstäbe für den Datenschutz im Internet gesetzt. Der EuGH führt diese Rechtsprechung nun konsequent fort und klärt die Recchtsfrage durch die Präzisierung der rechtlichen Abgrenzungen zwischen Pseudonymisierung und Anonymisierung.

Das Urteil schafft praktische Klarheit für Unternehmen und Institutionen:

  • Weit gefasster Personenbezug: Jegliche Äußerungen oder Bewertungen sind personenbezogene Daten. Eine Differenzierung nach Inhalt, Zweck oder Wirkung ist nicht erforderlich.
  • Pseudonymisierte Daten sind kontextabhängig zu bewerten. Empfänger, die keine Möglichkeit zur Re-Identifizierung haben, müssen die DSGVO nicht anwenden – bis zu dem Zeitpunkt, an dem ihnen eine Identifizierung technisch oder faktisch möglich wird.
  • Umfassende Transparenzpflichten: Verantwortliche müssen Betroffene bereits im Zeitpunkt der Datenerhebung und klar über alle Empfänger und Empfängerkategorien informieren, auch wenn die Daten pseudonymisiert weitergegeben werden.

Handlungsempfehlungen für Unternehmen

Vor dem Hintergrund des Urteils sollten Verantwortliche dringend prüfen, ob ihre Datenschutzorganisation den Anforderungen entspricht:

  1. Erweiterte Definition beachten: Auch Äußerungen von natürlichen Personen sind als personenbezogene Daten zu behandeln.
  2. Datenschutzerklärungen überprüfen: Datenschutzhinweise für Betroffene müssen detailliert über die (beabsichtigte) Datenverarbeitung, Empfänger und Empfängerkategorien informieren. Fehlt ein solcher Hinweis, drohen Bußgelder von bis zu 20 Mio. EUR bzw. 4 % des weltweiten Jahresumsatzes.
  3. Pseudonymisierung richtig einordnen: Für den Empfänger kann eine Pseudonymisierung von personenbezogenen Daten faktisch eine Anonymisierung bedeuten, wenn keine Re-Identifizierung möglich ist. Die DSGVO ist in diesem Fall auf den Drittempfänger nicht anwendbar. Ab dem Zeitpunkt, zu dem der Drittempfänger tatsächlich (wieder) in der Lage ist, eine betroffene Person zu identifizieren, gelten die datenschutzrechtlichen Vorgaben der DSGVO uneingeschränkt und sind zwingend einzuhalten. Unternehmen sollten deshalb Prozesse etablieren, um regelmäßig zu prüfen, ob neue technische oder organisatorische Mittel eine Re-Identifizierung erlauben.
  4. Dokumentation sicherstellen: Nachvollziehbare Prüfprozesse und ihre Dokumentation sind entscheidend, um im Streitfall die Einhaltung der DSGVO nachweisen zu können.

Fazit:

Das EuGH-Urteil vom 4. September 2025 verdeutlicht, dass der Schutzbereich des Datenschutzrechts nicht auf klassische Identifikatoren beschränkt ist. Auch subjektive Äußerungen sind personenbezogene Daten. Gleichzeitig bringt die Entscheidung Rechtssicherheit für Drittempfänger pseudonymisierter Daten, die nicht zur Re-Identifizierung in der Lage sind. Für Unternehmen bedeutet dies: Transparenz, Sorgfalt bei der Pseudonymisierung und ein kontinuierliches Monitoring der Identifizierbarkeit sind Pflicht.

0
0

Josefine Spengler ist Rechtsanwältin und Fachanwältin für IT-Recht im Berliner Büro von Annerton. Sie verfügt über langjährige Inhouse-Erfahrung als Head of Legal und Datenschutzbeauftragte bei einem Payment Service Provider. Als Expertin im IT- und FinTech-Segment berät Josefine Spengler nationale und internationale Mandanten in allen Fragen an der Schnittstelle zwischen Regulierungsrecht und IT-Recht sowie zu Compliance- und AML-Themen. Josefine Spengler ist regelmäßig Referentin bei Veranstaltungen zum IT-Recht und zu regulatorischen Anforderungen an die IT von Finanzunternehmen.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like
DDatenschutz
EUDI-Wallet: Chancen, offene Fragen und der Ausblick für Finanzunternehmen | ALLES LEGAL #124
Weiterlesen
  • 2 Minuten

EUDI-Wallet: Chancen, offene Fragen und der Ausblick für Finanzunternehmen | ALLES LEGAL #124

In der fünften und letzten Folge unserer EUDI-Wallet-Reihe diskutieren Peter Frey, Partner bei Annerton, und Moderatorin Dana Wondra (Payment & Banking) über zentrale Erkenntnisse und Herausforderungen im Kontext der European Digital Identity Wallet (EUDI-Wallet). Neben Chancen für Finanzdienstleister geht es um rechtliche Unsicherheiten, technische Anforderungen und politische Rahmenbedingungen.
Weiterlesen
FFinTech
Zwischen Swipe und Aufsicht Social Commerce boomt – doch rechtlich ist nicht alles erlaubt. Wann Plattformen Zahlungsdienste erbringen und welche Ausnahmen greifen, erklärt der Beitrag.
Weiterlesen
  • 5 Minuten

Zwischen Swipe und Aufsicht

Social Commerce verspricht eine Revolution im Onlinehandel – direkt über soziale Netzwerke wie TikTok. Doch während das Geschäftsmodell noch jung ist, stellen sich bereits alte aufsichtsrechtliche Fragen: Darf eine Plattform überhaupt Zahlungsströme koordinieren, ohne selbst Zahlungsdienstleister zu sein? Der Beitrag zeigt, warum kreative Vertragsgestaltung gefragt ist, um Innovation rechtssicher umzusetzen.
Weiterlesen